暑い日が続いています。それにしても、最近、セキュリティホールが多すぎます。
それにしても、PHP のセキュリティホールのおかげで、数台のサーバで PHP の入れ直しを行いましたが、結構時間がかかりました・・・。実験用サーバを含めて 5台くらいなので、まだましですが、それでもセキュリティホールが見つかるたびに何かと大変です。
PHP は、もうすぐ 4.2.3 がリリース予定になっているそうですが・・・。
PHP 4.2.0 と 4.2.1 にセキュリティホールが発見されました。Vulnerability in PHP versions 4.2.0 and 4.2.1 ということでアナウンスされています。"multipart/formdata"リクエストの入力値チェックの問題ということです。リモートから HTTP POST によって、Apache が動作しているユーザの実行権限を得ることが出来るそうです。
ファイアウォールにもあまり意味がありませんので、4.2.2 にバージョンアップするか、4.1.2 を使用するようにした方が安全です。
POST を使用しない場合は、Apache の httpd.conf を以下のように変更することで回避可能ですが、POST が使えないので、あまり意味がないところも多そうですが・・・。
<Limit POST> Order deny,allow Deny from all </Limit>
以下のサイトなどでこのセキュリティホールが紹介されています。ほとんど英語サイトですが・・・。
PHP Security Vulnerability in Multipart FORM Data Handling (SecuriTeam.com)
Additional Details Released on PHP Security Vulnerability in Multipart FORM Data Handling (SecuriTeam.com)
Advisory 02/2002: PHP remote vulnerability (Neohapsis)
PHP HTTP POST Incorrect MIME Header Parsing Vulnerability (SecurityForcus)
このセキュリティホールによって、Apache に Segmentation fault を起こさせる exploit も公開されています。
他にも、以下の情報によると、PHP 4.2.2 でも サービス拒否(DoS)攻撃を受けてしまう問題が報告されています。この問題はほぼすべてのバージョンの PHP が影響を受けるようです。現在のところ、回避手段はなさそうですが・・・。
PHP Interpreter Direct Invocation Denial Of Service Vulnerability (SecurityForcus)
スラッシュドット ジャパンなどで既に話題になっていますが、Mozillaに任意ドメインのCookieが漏曳するセキュリティホール があるそうです。
この問題の対処方法としては、メニューを日本語化していない Mozilla では、[Edit] - [Preferences] - [Advanced] - [Scripts & Windows] - [Read cookies] のチェックを外すことです。メニューが日本語になっている Mozilla では、「編集」 - 「設定」 - 「詳細」 - 「スクリプト&ウインドウ」 - 「cookieを読む」 のチェックを外します。
Netscape 6.2.3 でもこの問題があるらしいです。Netscpe 6.2.x で、この問題を対処するには、「設定」メニューの「詳細」で 「Navigator で JavaScript を有効にする」 のチェックを外すか、「プライバシーとセキュリティ」の 「cookie」 で 「cookie を無効にする」 を選択するくらいしかないかもしれません。ただし、このように設定するとまともに閲覧できないサイトがありそうなので、これらの設定は Javascript の働きを理解した上で行ってください。
Mozilla 1.1beta では、すでに対処済みらしいです。
話は変わりますが、JPNIC が、Mozilla-1.0用国際化ドメイン名対応パッチ を公開しているようです。対応している OS には、 RedHatLinux 7.3 と FreeBSD 4.6 が挙げられています。Mozilla をソースからコンパイルする必要がありますが、興味のある人は試してみてください。
RFC 3227「証拠収集とアーカイビングのためのガイドライン」の和訳
セキュリティについて分かりやすく説明している小冊子。あまりセキュリティに詳しくない人に説明するときには非常に役に立ちそう。
IDS の Snort のルールの書き方。勉強になるかも。
いろいろな方法で Apache のパフォーマンスを向上させる方法。
「Ogg Vorbis1.0」リリース、ライセンスフリーでMP3より高音質
Ogg Vorbins の紹介。
一応、勉強に。
参考になりそう。
IPAセキュリティセンター と JPCERT/CC が受けた不正アクセスの届け出状況。
無線LANは危なくて使えない? 〜無線LAN接続サービスへの警告〜
これから無線LAN を導入しようとしているひとは読んでおくとよさそう。
セキュリティホールが見つかったため、バージョンアップ。
いろいろなプラットホームで使用できるブラウザ。1.1 系列のベータ版。1.0.1 はリリースされていないが・・・。
MP3 と同じ圧縮音楽のフォーマット。MP3 よりも高音質らしい。
Unix 系で使用できるメールクライアント。バグフィックス。
毎日暑くてかなり身体に堪えているようで、かなり疲れ気味です。そういえば、19日は土用の丑で、20日は海の日でした。京都の祇園祭も終わり、最近、本当に季節感のない生活を送っているような気がしますが・・・。20日は海の日で祝日でしたが、海に行ったのは何年前だったかというくらいです。とにかく、暑いだけの夏は嫌いです。
とりあえず、JSP(Apache + Tomcat) のインストールメモは作成しました。Red Hat Linux 7.3 の環境でしかうまくインストールできないかもしれませんので、役に立つかは不明です。
そういえば、最近は、一週間に一回台風が来そうな勢いですが・・・。
随分前にも紹介したかんな辞書ですが、かんな辞書 (cannadic-0.94c)がいつの間にかリリースされていました。Linux で、日本語入力に canna を使っていると、結構問題になるのが、漢字変換だったりしますが、辞書を強化することで改善することができます。
とりあえず、かんなの漢字変換に不満があれば、インストールしてみるべきだと思います。他にも、子音という辞書もあります。
日経ネットワークセキュリティ 2002 Vol.2を買って読んでみました。結構、いろいろなところで話題になっていますが、かなり良い情報が載っていて、勉強になりました。
John the Ripper のパスワード推測方法と推測されにくいパスワードについての説明は非常に貴重な情報です。
7月18日にSecuriTeam で、PHP fopen() Warning Cross-Site Scripting Vulnerability というクロスサイトスクリプティング問題のセキュリティホールの情報が公開されています。
とりあえず、この問題は、fopen() の引数に、スクリプトを入力すると起こるようです。fopen() を使用する際は、ユーザに操作されないように、気をつける必要があると思います。
公開されているサンプルでは、php.ini の設定で、
register_globals = off
になっていると再現されませんし、セキュリティ上、register_globals は off にしておくことをお勧めします。
今週は気になったニュースが多すぎです・・・。先週忘れていた分も追加したら、増え過ぎました。
Snort FAQ の和訳。かなりいい感じの資料。
セキュリティ How-To - ウイルス作者の心理の深淵を探る(ZDNET)
読み物として非常に面白いかも。
SecurityTracker Monday Morning Vulnerability Summary
勉強になる?
また見つかったらしい。
Java サイトのリンク集。とりあえず、Java の勉強に。
「decrypt-password.exe」という添付ファイルで、感染を拡げるウイルス。いろいろと広まっているらしい。「Re:Your Password!」の件名に注意。
独でもディープリンク裁判が活発に〜検索エンジン会社に不利な判決
ディープリンク問題。ドイツでも。
BSD/OS での acid という snort のフロントエンドのインストールメモ。
SecurityForcus が買収されたらしい。bugtraq のメーリングりすとは存続するらしいので、とりあえずは安心。
Symantec が3社を買収、推定総額は3億5500万ドル
セキュリティ関係の企業は儲からないらしい。
JPCERT/CC 活動概要 [ 2002年4月1日 〜 2002年6月30日 ]
JPCERT/CC の不正アクセスに関するレポート。不正アクセスは予想通り、増える傾向があるらしい。
Windows のメールクライアントで、非常に多機能。フリー版がバージョンアップして、ニュース機能が使えるようになったようです。
有名な Linux ディストリビューション。
多分、一番有名なスクリプト言語。いろいろな機能の改善や追加があったらしい。日本語の公式アナウンスもある模様。
「引用としてペースト」機能、「アクション」機能などの追加、その他バグ修正らしい。
オープンソースの統合オフィススイート。ワープロ、表計算、プレゼンテーションツールなどが含まれている。Star Office の無料版のようなもの。
GNOME 環境で動作するオープンソースの表計算ソフト。
そういえば、随分前にリリースされていたのに、忘れていた・・・。Windows で使用できる Web ページ更新チェックツール。かなり便利。
最近、また暑い日が続いています。台風が過ぎ去った次の日くらいは涼しかったのですが。台風の被害は結構大きかったようです。また、大きな台風が来ているようなので、気をつけた方が良さそうです。
JSP を試してみようと思って、Apache + Tomcat のインストールをしてみました。インストールは出来たものの、JSP のソースを書くというところまでは出来ていないのですが・・・。勉強する時間があまりありませんが、そのうち勉強しようかと思っています。
インストールメモも作成している途中なので、来週くらいには追加できると思います。
スラッシュドットジャパンから。ニュースソースへの直接リンク禁止〜デンマークや、文化庁がトップページ以外へのリンクを機械的に拒否ということで、結構話題になりました。文化庁の方は、ZDNETの記事では、文化庁、「ディープリンクを拒否するつもりはない」 ということのようで、なかなか複雑です。
この Deep Link はディープリンク禁止命令の影響どこまで? にもありますが、検索エンジンの開発にまで影響する可能性があるようです。この問題としては、法的にあまり厳しく Deep Link を取締りすぎると、インターネットの利便性や検索性といった利点が失われてしまうような気がします。あまり大きな問題にならなければいいのですが・・・。
どうしても Deep Link を避けたいのであれば、Deep Link をできないようなしくみを取り入れて、サイトごとに対処すべきだと思います。この点において、文化庁の件は、問題ないと思うのですが、政府機関が Deep Link を禁止するというのは、あまりに閉鎖的に感じてしまうので、早く対処してもらいたいところです。
とにかく、既存の検索エンジンが、不便になってしまうような方向に進まなければいいのですが・・・。
Apache Tomcat Cross-Site Scripting
英語。Apache Tomcat 4.0.3 にクロスサイトスクリプティングの問題らしい。
統合オフィス環境。かなり出来は良いらしい。RedHat 7.3 では、日本語が文字化け問題があるらしい。対処方法もそのページに記載されている。
英語。ファイルシステム Ext3 と Reiserfs との比較。
NIDS(ネットワーク進入検知ツール)。
統合デスクトップ環境。最近は、GNOME よりも出来が良くて、マルチバイト処理も KDE の方がいいらしい。KDE 3.1 Alpha 1 もリリースされた模様。
今年も半分終わり、7月になってしまいました。それにしても、さすがに暑いです。体調管理、食事には気をつけないといけません。CSS を少し変更。
IPAセキュリティセンターからウイルス発見届出状況(6月分)と、不正アクセスの届出状況(6月分)が公表されています。
前年同時期比較で、ウイルスの届け出が 1.2倍、不正アクセスで 1.7倍ということで、順調に増加しているようです。不正アクセスの方では、原因が特定できていればまだ良い方で、原因不明、設定不備という項目で 50% のようです。まあ、不正アクセスがあったことに気がついて、届け出をしただけでも評価できると思いますが。この裏に、どれくらいのサイトが不正アクセスを受けていて、気づいていないのかが知りたいものですが。100倍くらいで済めばまだ良い方だと思います。
また、日本のくらっくサイト情報というサイトが6月からクラックされたサイトの情報を公開しているようです。しっかり管理できていないところは何度でもクラックされてしまうということが良く分かります。予想通り、Windows 系の OS が多いですが。とにかく、パッチを当てて、しっかり管理していれば、簡単にはクラックできないはずです。先日、Web サーバとして広く使われている Apache にセキュリティホールが見つかっていますので、サーバの OS に関係なく、Apache を使っている場合は最新バージョンにしておくことをお奨めします。Apache 用のワームも作成されています(今のところ、*BSD用だけですが・・・)し、Nimda や CodeRed 並のワームになる可能性があるそうです。
とりあえず、パソコンスクール「アビバ」から個人情報流出 のようなことにはなりたくないというところでしょうか。
スクリプト言語 PHP の方では、Zend Engine 2 を実装した PHP 4.3.0 alpha 2 がリリースされています。今回のバージョンでは、Java 的な記述方法が使えるようです。サンプルスクリプトを見ると、try 〜 catch や、デストラクタの実装など、かなり良さそうな機能があります。あまり多機能になりすぎると、手軽なスクリプト言語というイメージがなくなるかもしれませんが、どうなるか注目していきたいところです。
24 時間常時接続メーリングリストから。「色盲の人にもわかるバリアフリープレゼンテーション法」 「色覚異常とは」 IBMの「バリアフリーの扉・ガイドライン」などのページの紹介がありました。これらのページを読むと非常に勉強になります。これらの情報を参考にして Web ページ作りをしてくれるサイトが増えるといいのですが・・・。
FreeBSD メーリングリストから。FreeBSD で X を使用していない場合、ports で X のパッケージをインストールしようとするツールがありますが、以下のように /etc/make.conf に書いておくと X をインストールしようとするのを止めることができるらしいです。
WITHOUT_X11=yes
あるメーリングリストで紹介されていたページ。なかなか面白かったので紹介。
家電もネットワーク対応すると、危険なものがあるようで。家電が乗っ取られる・・・ということはあまり考えたくないことだが。
マイクロソフトのコードにバグはない (Microsoft が思っている限りでは)
面白かったので。まとめを読むだけでもマイクロソフトの考え方が分かるかもしれない。
IDSについての説明と最新動向。
セキュリティポリシーの運用について。
サーバ関連のカタログを読む際の注意点など。用語説明としては少し便利かもしれない。
Linux に Java をインストールする方法。一応、メモ。export JAVA_HOME と export PATH の設定さえ覚えておけば簡単。
英語。Apache のいろいろなコンパイル方法の例。モジュールのコンパイルオプションが参考になる。
FTP デーモン。バグフィックスリリース。
Windows用 Webページ更新チェックツール